Trustwave SpiderLabs über staatliche Überwachungsmethoden in der IT
Der erste Bereich der Trustwave SpiderLabs Blogserie mit dem Namen „Erkennen eines Überwachungsstaates“ befasst sich mit der Thematik Hardware Implantate bzw. der Abwehr- und Verteidigungsmethoden für Hardware, die einige „regierungsabhängige“ Überwachungsgruppen anscheinend eingesetzt hatten oder haben. Es ist eine gute mentale Übung, sich einmal die ganzen Programme und Geräte vorzustellen, die vor fünf Jahren entweder bereits im Einsatz waren oder sich in der Entwicklung befanden. Nach einer kurzen thematischen Einführung werden im Folgenden die Details einiger Hardware-Implantate vorgestellt.
Die Quelle der nachfolgenden Ausführungen über die verschiedenen Geräte stammen aus mittlerweile veröffentlichten Dokumenten auf Wikipedia, von Spiegel International Online und Veröffentlichungen der 30c3.
Insgesamt sind über 40 Geräte und Programme bekannt geworden, die von „regierungsabhängigen“ Spionageabteilungen eingesetzt wurden. In dieser Blogserie werden auch einige theoretische Abwehr- und Erkennungsmethoden für eine vom Autor dieser Blogserie ausgewählte Gruppe dieser mittlerweile bekannt gewordenen Überwachungsprogramme und Dienste beschrieben. Aufgrund des Alters und der eingeschränkten Sichtweise der bekannt gewordenen Dokumente sind die beschriebenen Verteidigungsmaßnahmen höchstens als Idee und nicht als aktive Schutzmaßnahmen zu betrachten. Es wird keinerlei Garantie für eine Erkennung aktueller Spionageprogramme und Geräte gegeben. Die in dieser Blogserie beschriebenen Informationen dienen den Lesern auch aufgrund der Nicht-Aktualität der beschriebenen Spionagelösungen (5 Jahre sind in der IT eine enorme Entwicklungs-Zeitspanne) eher als Unterhaltung und Anregung zum Nachdenken. Wenn Sie sich also auf der „anderen“ Seite einer staatlichen Spionageorganisation befinden sollten, nehmen Sie diesen Beitrag nicht zu ernst (außer Sie wollen sich Gedanken darüber machen, ob Sie auf der richtigen Seite stehen…).
Zum Zeitpunkt der Erstellung dieses ersten Blogbeitrags (11. März 2014) gab es keinen wirklichen physikalischen Beweis für die tatsächliche Existenz dieser Hardware-Wanzen auf irgendeinem System. Vielleicht sollten Sie daher die Beschreibungen mit einer gesunden Skepsis lesen und dabei bedenken, dass es sich nur um theoretische Beschreibungen von Verteidigungsmaßnahmen gegen diese Attacken handelt. Die Blogserie soll weder Angst, noch Unsicherheit oder Zweifel bezüglich eines Überwachungsstaates erzeugen.
Im Folgenden werden drei Geräte vorgestellt, die eigentlich sehr ähnlich sind: Jedes dieser Geräte ermöglicht den permanenten Zugriff auf ein infiziertes System. Ebenso können diese Geräte mit denselben Methoden entdeckt werden, da es sich um physikalische Lösungen handelt.
GODSURGE
Hierbei handelt es sich um ein physikalisches Gerät, dass in die Joint Test Action Gruppe oder den JTAG Headern auf dem Motherboard eines Systems eingebaut wird und somit auf einen ganz spezifischen Hardware-Anbieter ausgerichtet ist. Wenn Sie wissen, was JTAG macht, dann wissen Sie auch, dass es hierfür kein generelles Muster gibt (mit der Ausnahme, dass es sich um ein beständiges Gerät handelt). Wenn Sie mehr über die Funktionsweise von JTAG erfahren möchten, dann lesen Sie einfach die beiden SpiderLabs Blogs „Getting Terminal Access to a Cisco Linksys E-1000“ und „Oops, i pwned your router„.
Um zu Erkennen, ob auf einem System ein GODSURGE Gerät installiert ist, muss man zunächst auf dem Motherboard nach dem JTAG Connector suchen. Der Standort der JTAG Header mag sich von Motherboard zu Motherboard unterscheiden, aber die befinden sich meist in der Nähe der CPU und haben oftmals (aber nicht zwingend) entlarvende Pins. Auf dieser Wikipedia Webseite erfahren Sie mehr über JTAG.
Hier die Abbildung eines JTAG Headers ohne Pins:
Man kann diese JTAG Header auf vielen Systemen finden und sie sind berüchtigterweise auch in den meisten eingebetteten Geräten zu finden. Diese Header werden vor allem während des Entwicklungsprozesses für einfache Fehlerkorrekturen genutzt. Sie ermöglichen den direkten Zugriff auf die CPU und sind entsprechend hilfreich. Meist werden die Header auch auf den Produktivboards gelassen. Wenn man sie also auf einem Gerät entdeckt, so ist dies eher normal und eigentlich auch kein Sicherheitsproblem. Wenn aber ein Chip oder eine andere Platine/Platte mit den JTAG Headern eines Gerätes verbunden ist, der nicht vom Nutzer oder Eigentümer des Gerätes dort angebracht wurde, dann könnte hier etwas faul sein.
GINSU und BULLDOZER
GINSU ermöglicht zusammen mit dem PCI Bus Hardware Implantat BULLDOZER die Überwachung von Software Applikationen auf einem Zielsystem.
Da dieses Gerät mit dem PCI Bus auf einem System verbunden sein muss, kann es sehr einfach entdeckt werden. Man muss nur das Computergehäuse öffnen und nach einer PCI Karte suchen, die dort eigentlich nichts zu suchen hat. Wenn Sie beispielsweise eine PCI Karte finden, die augenscheinlich keinerlei Zweck hat (z.B. keine Netzwerkkarte oder ohne irgendwelche externen Ports), dann entfernen Sie diese Karte doch einfach mal aus dem System und schauen, ob danach noch alles wie gewünscht funktioniert. Wenn plötzlich, nachdem Sie die Karte aus dem Rechner entfernt haben, ein paar dunkle Gestalten mit Sonnenbrillen bei Ihnen auftauchen, dann steckt möglicherweise nicht die Absicht dahinter, nur bei Ihnen das neue Video für einen Rapsong zu drehen….
COTTONMOUTH-I, II und III
Von allen drei hier beschriebenen Hardware-Wanzen ist die COTTONMOUTH Wanze wohl die interessanteste Attackenform. Diese Wanzen werden in der Nähe des USB Bus eingebaut und funktionieren wie eine Luftbrücke, um beim Herausschleusen von Daten wie auch die dauerhafte Kompromittierung eines Systems zu ermöglichen. Die Wanze kann direkt in die USB Header einer bestehenden USB Peripherielösung (z.B. USB Hub oder Tastatur) integriert werden. Diese Spionagegeräte ermöglichen das Herausschleusen von Daten über unbekannte Radiofrequenzen an Empfangsstationen in der Nähe, selbst was das auszuspionierende System nicht mit dem Internet verbunden ist.
Das einzige Problem dieser Spionagelösung ist, das sie ebenfalls physikalischer Natur ist. Sie können einfach ihre Tatstatur oder den USB Hub aufschrauben und eine Platine oder Platte finden, die mit der eigentlichen Funktionsweise des Systems nichts zu tun hat. Ebenso könnte das präparierte USB Gerät anders als normale USB Geräte in den Systemeinstellungen ihres Rechners auftauchen. Eine entsprechende Überprüfung der Einstellungen ist immer ein guter erster Ansatzpunkt.
Um einen Exploit auf dem angegriffenen System für eine permanente Backdoor zu initiieren, würde die COTTONMOUTH Spionagelösung eine USB Host Attacke durchführen. Hierzu würde sich die Lösung als neues USB Gerät am System (komplett – einschließlich einer USB ID etc.) anmelden und sich anschließend selbst löschen. Wenn Sie nun ein neues USB Gerät, dass sie beispielweise auf einer Konferenz oder während eines Geschäftsessens erhalten haben, an einen infizierten Rechner oder Laptop anschließen und plötzlich mehr als ein neues mit dem System verbundenes USB Gerät in den Einstellungen auftaucht, dann sollten Sie sich vielleicht einen Schraubenzieher schnappen und nachprüfen, was innerhalb ihrer Tastatur oder ihres USB-Hubs vor sich geht. Seien Sie deshalb vorsichtig, was Sie so als Geschenk auf Konferenzen oder ähnlichen Veranstaltungen erhalten…
Sie könnten auch jede dieser Lösung durch eine Überwachung der Radiofrequenzen innerhalb des Raumes entdecken, aber das ist eigentlich für die Entdeckung dieser Wanzen zu kompliziert. Wenn es einen physikalischen Beweis für ein Abhören gibt, dann sollten Sie auch Ausschau nach einem physikalischen Gerät halten, um dieses Aufzuspüren.
Der zweite Bereich der Trustwave SpiderLabs Serie befasst sich ebenfalls mit Hardware-Lösungen, die vermutlich in aktuelleren Spionageaktionen eingesetzt wurden und das Herausschmuggeln von Daten mittels Radiofrequenzen (RF) präferieren. Nachfolgend werden die folgenden Beispiele analysiert:
- HOWLERMONKEY: Ein Sende-/Empfangsgerät mit kurzer bis mittlerer Reichweite
- RAGEMASTER: Ein Hardware-Implantat, das in ein VGA Kabel integriert wird und die Videodaten über Radiofrequenzen versenden kann
- LOUDAUTO: Eine Hardware-Lösung, die über RF verstärkte Audiosignale versenden kann
- SURLYSPAWN: Ein Hardware-Implantat in einer Tastatur, das Tastenanschläge mittels RF übertragen kann
Die tatsächlichen Spionagelösungen können von den hier beschriebenen Lösungen abweichen – nutzen aber alle dieselbe Kommunikationsmethode über unbekannte Radio-/Radar-Protokolle.
Jede dieser „Technologien“ basiert auf einem physikalischen Implantat. Wenn Sie diese Spionagelösungen entdecken wollen, dass sollten Sie zuerst nach der Existenz eines Gerätes suchen, dass mit einem ihrer bestehenden Peripherie-Geräte wie bspw. Tastaturen verbunden ist. Bedenken Sie dabei, dass die meisten Elektronikhersteller heutzutage Leiterbahnen verwenden, um alle Chips anzuschließen. Wenn Sie ein Gerät öffnen und etwas entdecken, dass mit Mikroleitern extra mit dem Gerät verbunden ist, dann sollten Sie vielleicht den Hersteller fragen, ob dies normal ist (oder sich gleich ein anderes Gerät kaufen).
In einigen Fällen ist die RF Wanze auch direkt in einem Kabel integriert. Diese Wanzen können Sie physikalisch nur aufspüren, wenn Sie das Kabel längs aufschneiden und dann die einzelnen Kabelbestandteile genau inspizieren. Unglücklicherweise wird diese Untersuchungsmethode die Funktionalität des Kabels zerstören. Zudem können Sie es nicht wieder so einfach zusammenbauen.
Eine alternative Methode diese Art von Wanzen zu entdecken ist derzeit noch rein theoretisch. Wenn Sie über ein Gerät verfügen würden, mit dessen Hilfe die RF Signale der Wanze aufgespürt werden könnten, dann könnten Sie auch jede Übermittlung dieser Wanzen bemerken. Sie haben solche Geräte vielleicht in einigen Spionagefilmen aus den 70er und 80er Jahren gesehen. Das Problem ist hierbei, dass die Frequenzen nicht bekannt sind und sich die Wanzen vielleicht erst aktivieren, wenn auch wirklich Informationen übertragen werden.
Aber vielleicht kann uns hier das steigende Interesse der Open Source Gemeinde im RF Umfeld helfen. „Software Defined Radio´s“ (SDR) gewinnen immer mehr an Popularität. Entsprechend fallen auch für den Amateurbereich immer mehr die Preise für RF Abhörgeräte und Programme. Einfache Lösungen sind bereits für weniger als 20,–US$ erhältlich und können Frequenzbereiche unter 2GHz scannen. Ausgereiftere Lösungen wie hackRF kosten ein paar Hundert US$ – können aber Frequenzbereiche bis 6GHz scannen. Dies ist ein enormer Preisverfall gegenüber den Preisen, die diese Geräte noch vor 10 Jahren gekostet haben. Warum ist dies so wichtig für das Aufspüren von Wanzen? Diese Geräte können programmiert werden, einen Großteil des RF Spektrums zu scannen und auch Anomalien mit Hilfe der für diese Geräte entwickelten Software zu erkennen. Es könnte ein verdächtiges Peripheriegerät nach einem potentiellen RF Spionageübermittler überprüft werden, indem man das Gerät erst im ausgeschalteten Zustand (um eine Referenz für die RF Grundgeräusche zu erhalten) und dann im angeschalteten Zustand (um herauszufinden, ob das Gerät dann zusätzliche / andere RF Signale sendet) scannt und die Daten miteinander vergleicht. Das Abhörgerät würde dann ein Signal aussenden und den Nutzer warnen.
Nur zur Erinnerung. Diese Blogserie ist ein theoretisches Projekt basierend auf (zuvor geschützten und nun) veröffentlichten Informationen. Man kann nicht mit Sicherheit sagen, welche Schritte tatsächlich notwendig sind, um diese Wanzen aufzuspüren, bis man nicht eine dieser Wanzen physikalisch in den Händen hält und das Aufspüren entsprechend im Labor nachstellt. Die RF Überwachung ist ein noch nicht genau erkundetes Feld. Wenn Sie sich tiefer mit dieser Thematik und SDR beschäftigen wollen, dann sollten Sie das GNURadio Projekt verfolgen.
Im dritten Bereich der Blog-Serie bewegen wir uns nun von der Überwachungs-Hardware weg und hin zu Überwachungslösungen, die auf BIOS oder Betriebssystemmodifikationen beruhen. Diese Spionagelösungen sind nicht mehr physikalisch und somit deutlich schwerer zu entdecken.
In den am Anfang der Blogserie beschriebenen Veröffentlichungen von Wikipedia und 30c3 werden Hilfsmittel beschrieben, die von einigen staatlichen Spionageabteilungen für eine dauerhafte Kompromittierung von Systemen eingesetzt werden. Im nun folgenden dritten Bereich beschäftigen wir uns mit von den Spionagediensten selbst entwickelten BIOS und Betriebssystemvarianten, die im Idealfall selbst bei einer Neuinstallation des Betriebssystems oder BIOS auf einem infizierten System erhalten bleiben können. Diese Spionageattacken können Computer, Netzwerkrouter oder sogar einige Festplatten betreffen.
Die Dokumente, die diese Programme beschreiben, erklären leider nicht, wie die eigentliche Infektion mit einem geänderten BIOS oder Betriebssystem vor sich gehen soll. Die gängigsten beobachteten Methoden, eine Firmware oder ein BIOS zu infizieren, ist auf ein bereits „gehacktes“ System zuzugreifen oder die BIOS/Betriebssystem-Änderungen einzuspielen, bevor das abzuhörende Opfer das Gerät in ihren/seinen Händen hält (z.B. irgendwann im Laufe der Lieferkette die Modifikationen unbemerkt „einspielen“). Da diese Arten von Attacken bis jetzt noch gänzlich unbekannt sind, so werden auch keine (nicht mal theoretisch – man soll keine schlafenden Hunde wecken) Spezifikas über „Lieferketten-Attacken“ oder das Ändern von BIOS / Betriebssystemeinstellungen im laufenden Betrieb diskutiert.
Die Namen der Programme, die im Folgenden kurz vorgestellt werden sollen, lauten:
- DIETYBOUNCE: Eine Motherboard BIOS Infektionslösung
- SWAP: Eine Festplatten-Firmware Infektionslösung
- HEADWATER, SIERRAMONTANA und JETPLOW: Dies sind alles Firmware-Backdoors, die populäre Netzwerk-Hardware-Lösungen angreifen
Die Plattform-übergreifenden Infektionsmethoden wurden zusammengefasst, da jede dieser Infektionsmethoden typischerweise ein Gerät oder einen Computer in einer Art und Weise infiziert, die traditionell als vertrauenswürdig und gegenüber Kompromittierungen als geprüft angesehen wird. Bedenken Sie dabei, dass diese nur im Regelfall nicht überprüft werden. Das bedeutet nicht, dass die Infektionen schwierig oder unmöglich aufgespürt werden können.
Bei jeder dieser Infektionen würde gegebenenfalls das Ersetzen des vorhandenen BIOS Chips / der Flash-Karte durch einen neuen, frisch gebrannten BIOS Chip oder einer neuen Compact Flash Karte die Infektion beseitigen. Wenn Sie einen Verdacht haben, dann vergleichen Sie die Daten eines nicht vertrauenswürdigen Chips mit einem Original-Systemabbild, das Sie vom Hersteller des Systems herunterladen können. Man kann mit hoher Wahrscheinlichkeit annehmen, dass eine Spionagebehörde nicht über ein geheimes Implantat verfügt, dass jedes verfügbare Abbild eines Gerätes eines Herstellers infiziert hat. Dies würde nämlich nicht nur zu kostspielig, sondern auch von den Angestellten des Herstellers des Gerätes, die an einer kontinuierlichen Weiterentwicklung des Gerätes arbeiten, schnell entdeckt werden.
Wenn man sich mit einem fest integrierten Betriebssystem beschäftigt, dann ist eine Beseitigung einer möglichen Manipulation deutlich schwieriger als ein reines Herunterziehen und Ersetzen. Man muss das Gerät mit Hilfe eines Betriebssystems, dass nicht von der infizierten Firmware angegriffen werden kann, „re-flashen“. Da sich aber hier im Vorfeld nahezu keine wirklichen Beweise für eine Infektion entdecken lassen, so kann man hier auch keine „optimale“ Vorgehensweise empfehlen. Man könnte vielleicht ein obskureres Betriebssystem verwenden, bei dem die Firmware nicht weis, wie sie es angreifen kann. Man könnte auch das Gerät mit der niedrigsten Stufe des Betriebssystems neu aufsetzen in der Hoffnung, dass sich die Firmware-Infektion dann nicht mehr selbst schützen und somit entfernt werden kann. Oder man könnte sich mit dem Debugging Header des Gerätes (ironischerweise z.B. JTAG – wenn verfügbar) verbinden, um die Firmware auszulesen oder neu einzuspielen und so eine Infektion beheben.
Diese Methoden sind aber alle selbst für erfahrene Computernutzer sehr kompliziert. Der Zeitaufwand, die Daten auf den Chips auszulesen, zu vergleichen und/oder neu auf die Chips zu schreiben machen dies zu einer sehr unwahrscheinlichen Vorgehensweise – außer man ist sich 100%ig sicher, dass dieser Schritt notwendig ist.
Den letzten Bereich der Blogserie bilden Überwachungsmöglichkeiten für Mobiltelefone und Mobilfunknetze.
Es sind viele Informationen über Mobiltelefon- und Mobilfunk-Überwachungsattacken bekannt geworden. Nachfolgend werden die Attacken in folgende Typen kategorisiert: Mobiltelefonüberwachung, Malware für Mobiltelefone und betrügerische Funkmasten. Anstelle die theoretischen Abwehrmaßnahmen für jede spezifische Attacke zu beschreiben, werden nachfolgend Verteidigungsmaßnahmen für jeden Attackentyp diskutiert.
Da der Mobiltelefonbereich nach wie vor ein extremer Wachstumsmarkt ist, auch und vor allem im Attacken- und Verteidigungsumfeld, so muss man vor den Angreifern, die für diese Attacken aus dem Jahren 2007 und 2008 verantwortlich sind und diese entsprechend entwickelt haben, fast den Hut ziehen. Die meisten dieser gerätespezifischen Attacken, die in den veröffentlichten Dokumenten aufgelistet sind, betreffen eine mittlerweile nicht mehr aktuelle Hard- und Software (z.B. Windows CE, Flip Phone Handsets etc…). Da aber vor fünf Jahren schon sehr viel Energie, Know-How und finanzielle Mittel in die Entwicklung der Angriffs- und Abhörmöglichkeiten in diesen Bereich gesteckt wurden, so ist mit hoher Wahrscheinlichkeit davon auszugehen, dass die Angriffs- und Überwachungsmöglichkeiten an die aktuellen Systeme wie Android, IOS oder die neuen Windows Mobiltelefone / Tablets / PDAs längst angepasst wurden.
Im Bereich der Mobilfunküberwachung wurden bspw. die folgenden Attackenarten beobachtet:
- GENESIS
- WATERWICH
- CANDYGRAM
- PICASSO
Generell zur Mobiltelefon-/Mobilfunküberwachung: Die einzige sichere Möglichkeit, dass ein Mobiltelefon nicht mehr überwacht wird, ist es komplett auszuschalten. Unabhängig welches Gerät Sie einsetzen – wenn Sie mit diesem Gerät über ein Mobilfunknetzwerk kommunizieren, dass eine Zuordnung der Geräte-ID mit einer Person vornehmen kann und über entsprechende staatliche Überwachungsschnittstellen verfügt (also eigentlich jedes derzeit aktuell bekannte Mobilfunknetz), kann jede Information seitens des Mobilfunkanbieters (z.B. aufgrund staatlicher Vorgaben) aufgezeichnet und übermittelt werden (z.B. der aktuelle Standort des Mobiltelefons). Solange das Signal eines Mobiltelefons von einem Funkmasten erreicht werden kann, ist eine Ortung möglich. Die einzige Möglichkeit, eine solche Ortung zu verhindern, ist keinerlei Verbindung mit irgendeinem Funkmasten aufzunehmen oder das Mobiltelefon gänzlich auszuschalten.
Im Bereich der Malware für Mobiltelefone sind folgende Malware-Typen entdeckt worden:
- DROPOUTJEEP
- GOPHERSET
- MONKEYCALENDAR
- TOTEGHOSTLY
- TOTECHASER
Generell ist Malware für Mobiltelefone zu einer wirklich ernstzunehmenden Bedrohung geworden. Obwohl die veröffentlichten Dokumente belegen, dass staatliche Spionagestellen sich mit der Entwicklung von Malware für Mobiltelefone seit Mitte des letzten Jahrzehnts massiv beschäftigt haben, waren und sind hier staatliche Überwachungsstellen längst nicht die einzige Bedrohung. Entsprechend wird hier im Folgenden auf generelle Empfehlungen zum Schutz vor Malware für Mobiltelefone und nicht auf spezifische Abwehrmaßnahmen gegen die veröffentlichte staatliche Malware für Mobiltelefone, die mittlerweile 5 Jahre alt ist, eingegangen.
Es gibt zwei grundlegende Ansätze, um mit dem Problem der Malware für Mobiltelefone fertig zu werden: Prävention und Entdeckung.
Die ersten Schritte sollten immer der Prävention dienen. Zu wissen, wie ein Angreifer eine Malware auf einem Mobiltelefon installieren kann, ist hier der Schlüssel zum Erfolg. Dieses Thema alleine könnte allerdings mehrere Blogs füllen. Gängige Methoden, um Mobiltelefone mit Malware zu infizieren, sind: Man-in-the-Middle Attacken, Kidnappen über ein Update – das drahtlos durchgeführt wird, Lieferketten-Attacken (bevor das Telefon in die Hände eines Nutzers kommt), Phishing-Attacken (die den Nutzer durch Täuschungen dazu verleiten, die Malware selbst auf dem eigenen Telefon zu installieren), Juice-Jacking (Aufspielen von Malware in unbeobachteten Momenten wie z.B. Kaffeepausen) oder Drive-by Attacken (z.B. beim Aufladen des Mobiltelefons an öffentlichen Plätzen oder Nutzung eines ungesicherten WLANs). Die Verteidigung gegen diese Attacken ist einfach: Akzeptieren Sie keine Installation von Applikationen und/oder Updates von Quellen, denen Sie nicht 100%ig vertrauen (und/oder wenn Sie sich in ungesicherten Netzwerken befinden), lassen Sie Ihr Mobiltelefon niemals aus den Augen und vertrauen Sie keiner öffentlich zugänglichen Mobilfunkladestation.
Um eine Malware auf einem Mobiltelefon zu entdecken, sollten Sie zunächst einmal die gängigen IT-Sicherheitslösungen für den Mobilfunkbereich verwenden. Die meisten der neuen Mobiltelefone haben bereits eine solche IT-Sicherheitslösung werkseitig vorinstalliert. Diese Mobiltelefon-Malware Erkennungsmöglichkeiten haben aber mit denselben Problemen zu kämpfen wie die klassischen AntiVirus-Lösungen für PCs: Sie sind sehr gut was die Erkennung von Massenattacken angeht – versagen aber oft bei der Erkennung von neuartigem, für eine Person / Personengruppe entwickelten spezifischem Malware-Code. Wenn Sie über die Zeit verfügen oder ganz sicher sein müssen, was auf ihrem Mobiltelefon passiert, müssen Sie eine Testumgebung aufsetzen, in der der gesamte Netzwerk-Datenverkehrs, den das Mobiltelefon sendet oder empfängt, überwacht wird. Anschließend müssen Sie dann jedes Datenpaket nach Ursprungs- und Zielort untersuchen um feststellen zu können, ob es sich nur um ein fehlgeleitetes Datenpaket handelt oder dieses Datenpaket auf eine Kommunikation mit einem gefährlichen Netzwerk abzielt.
Überwachungslösungen für Funkmasten:
- CYCLONE
- CROSSBEAM
- EBSR
- ENTOURAGE
- NEBULA
- TYPHO
Um abschließend noch auf Bedrohungen durch Funkmasten einzugehen, so werden Sie diese Bedrohung mit den richtigen Vorüberlegungen überraschenderweise als sehr einfach und effektiv empfinden. Wenn eine staatliche Überwachungseinheit in der Lage ist einen „betrügerischen“ Funkmasten aufzustellen, dann kann diese Überwachungseinheit sämtlichen Sprach- und Datenverkehr, der von diesem Funkmasten empfangen wird, abfangen. Die Möglichkeit, Funkmasten in einem bestimmten Bereich zu orten, ist durch die Smartphones deutlich einfacher geworden. Auch jeder betrügerische Funkmast erscheint in Scans, wenn er einmal aktiviert wurde. Um diese Attacke abzuwehren, müssen Sie nur die derzeit verfügbaren Funkmasten in ihrer Umgebung scannen (es gibt viele Applikationen, die dies für Sie erledigen – und die Ergebnisse sogar grafisch wie auch als Vergleich darstellen – können) und dann die verschiedenen Scanergebnisse in einem bestimmten Zeitraum auf unterschiedliche Ergebnisse vergleichen. Obwohl neue Funkmasten natürlich auch von den Mobilfunkanbietern für eine Verbesserung der Servicequalität implementiert werden, so können Sie bspw. darauf achten, ob vielleicht derselbe Funkmast immer in ihrem Scanbereich auftaucht, auch wenn Sie die Stadt oder das Hotel wechseln.
Der einzige generelle Ratschlag bleibt: Verwenden Sie ihr Mobiltelefon nicht in nicht vertrauenswürdigen Umgebungen.
Quelle: Trustwave SpiderLabs Weblog – Autor: Robert Rowley
Über Trustwave
Trustwave hilft Unternehmen, sich vor den Cyberbedrohungen zu schützen, die eigenen Daten abzusichern und die Sicherheitsrisiken zu minimieren. Mit den eigenen Cloud- und Managed Security Services, den integrierten Technologien und einem globalen Team von IT-Sicherheitsexperten, ethischen Hackern und Forschern ermöglicht Trustwave Unternehmen, Organisationen und Behörden ihre Informationssicherheit und Compliance-Programme vor allem auch im Zuge geschäftlicher IT-Herausforderungen wie Big Data, BYOD und Social Media zu gewährleisten. Über zwei Millionen Geschäftskunden haben sich bereits der Trustwave TrustKeeper (R) Cloud Plattform angeschlossen, über die Trustwave automatisiert, effizient und kosteneffektiv den richtigen Datenschutz, ein umfassendes Risikomanagement und einen intelligenten Schutz vor Bedrohungen bereitstellt. Trustwave ist ein im Privatbesitz befindliches Unternehmen mit Hauptsitz in Chicago (USA). Das Unternehmen verfügt über Kunden in 96 Ländern auf der ganzen Welt. Weitere Informationen zu Trustwave finden Sie unter www.trustwave.com